Nous avons mis en place une journalisation centralisée des messages auditd pour deux machines :
- la machine (www22.domain.com) est la source (centos8)
- la machine (cls.domain.com) est le serveur de logs centralisé (centos7)
Cette opération a été réalisée de manière standard à l'aide du plugin auditd+audisp qui envoie au serveur auditd écoutant sur le port 60, par exemple comme décrit ici :
https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/
Mais ensuite, lorsque j'observe le journal d'audit sur le serveur de journaux centralisé après avoir redémarré le client auditd sur la source, la seule chose qui apparaît sont les lignes suivantes
node=cls.domain.com type=DAEMON_CLOSE msg=audit(1632773977.760:3884): addr=::ffff:x.y.z.152 port=42652 res=success
node=cls.domain.com type=DAEMON_ACCEPT msg=audit(1632773988.330:3885): addr=::ffff:x.y.z.152 port=44282 res=successoù ::ffff:x.y.z.152 est évidemment dû à un ou plusieurs paquets provenant de l'adresse IP x.y.x.152 (adresse de www22.domain.com). La connexion TCP entre le client et le serveur est donc établie et il semble que l'enregistrement des messages devrait se poursuivre.
Mais alors les seules nouvelles lignes qui apparaissent dans le fichier journal sont celles qui proviennent de cls.domain.com. Il n'y a jamais de messages d'audit provenant de www22.domain.com.
J'ai vérifié ce qui se passe si auditd www22.domain.com est configuré pour écrire également dans le fichier journal d'audit local ; le fichier local reçoit alors de nombreux messages d'audit. Mais toujours rien n'est envoyé sur le réseau.
Comment s'assurer que le client auditd envoie les mêmes messages sur le réseau ?
